Tim peneliti mencatat serangan ini licik karena URL SharePoint-nya, sehingga menyulitkan pengguna menyadari itu file yang ditantang. Jenis skrip cURL Windows yang telah dikompilasi juga membuat kode lebih sulit diidentifikasi karena kode tersebut tersembunyi di tengah file.
Skrip ini dapat menentukan apakah pengguna telah menginstal antivirus Sophos. Jika tidak, malware dapat menyuntikkan kode tambahan, dalam serangan yang disebut “stacked strings,” yang membuka kode shell yang membuat DarkGate dapat dieksekusi dan dimuat ke dalam memori sistem.
DarkGate Loader bukan satu-satunya penipuan phishing yang mengganggu Microsoft Teams musim panas ini. Sekelompok peretas Rusia bernama Midnight Blizzard dapat menggunakan eksploitasi rekayasa sosial untuk menyerang sekitar 40 organisasi pada Agustus.
Hacker menggunakan akun Microsoft 365 milik usaha kecil yang telah ditantang dan berpura-pura menjadi dukungan teknis untuk melakukan serangan. Microsoft telah mengatasi masalah ini, senbagaimana dikutip dari Windows Central.